久久精品视,亚洲av乱码一区二区三区按摩,欧美大黄,亚洲青青

定義 ACL全稱是AccessControlLists。即訪問控制列表。ACL是一個規(guī)則列表，用于指定授予或拒絕哪些用戶或系統(tǒng)訪問特定對象或系統(tǒng)資源。訪問控制列表也安裝在路由器或交換機(jī)中，它們充當(dāng)過濾器，管理哪些流量可以訪問網(wǎng)絡(luò)。

每個系統(tǒng)資源都有一個安全屬性，用于標(biāo)識其訪問控制列表。該列表包括可以訪問系統(tǒng)的每個用戶的條目。文件系統(tǒng)ACL最常見的特權(quán)包括讀取文件或目錄中的所有文件、寫入一個或多個文件以及執(zhí)行文件（如果是可執(zhí)行文件或程序）的能力。ACL還內(nèi)置于網(wǎng)絡(luò)接口和操作系統(tǒng)（OS）中，包括Linux和視窗。在計算機(jī)網(wǎng)絡(luò)上，訪問控制列表用于禁止或允許某些類型的流量進(jìn)入網(wǎng)絡(luò)。他們通常根據(jù)流量的來源和目的地過濾流量。

訪問控制列表的用途是什么？ 訪問控制列表用于控制對計算機(jī)系統(tǒng)或計算機(jī)網(wǎng)絡(luò)的權(quán)限。它們用于過濾進(jìn)出特定設(shè)備的流量。這些設(shè)備可以是充當(dāng)網(wǎng)絡(luò)網(wǎng)關(guān)的網(wǎng)絡(luò)設(shè)備，也可以是用戶直接訪問的端點設(shè)備。

在計算機(jī)系統(tǒng)上，某些用戶具有不同級別的特權(quán)，具體取決于其角色。例如，以網(wǎng)絡(luò)管理員身份登錄的用戶可能具有對敏感文件或其他資源的讀取、寫入和編輯權(quán)限。相比之下，以訪客身份登錄的用戶可能只有讀取權(quán)限。

訪問控制列表可以幫助組織流量，以提高網(wǎng)絡(luò)效率，并使網(wǎng)絡(luò)管理員能夠?qū)ζ溆嬎銠C(jī)系統(tǒng)和網(wǎng)絡(luò)上的用戶進(jìn)行精細(xì)控制。ACL還可用于通過阻止惡意流量來提高網(wǎng)絡(luò)安全性。
ACL如何工作？ 每個ACL都有一個或多個訪問控制項（ACE），這些條目由用戶或用戶組的名稱組成。用戶也可以是角色名稱，如程序員或測試人員。對于這些用戶、組或角色中的每一個，訪問權(quán)限都以稱為訪問掩碼的位字符串表示。通常，系統(tǒng)管理員或?qū)ο笏姓邽閷ο髣?chuàng)建訪問控制列表。
訪問控制列表的類型
有兩種基本類型的ACL：

文件系統(tǒng)ACL管理對文件和目錄的訪問。它們?yōu)椴僮飨到y(tǒng)提供指令，用于在訪問系統(tǒng)后建立系統(tǒng)的用戶訪問權(quán)限及其權(quán)限。

網(wǎng)絡(luò)ACL通過向指定允許與網(wǎng)絡(luò)接口的流量類型的網(wǎng)絡(luò)交換機(jī)和路由器提供指令來管理網(wǎng)絡(luò)訪問。這些ACL還會在網(wǎng)絡(luò)內(nèi)部指定一次用戶權(quán)限。網(wǎng)絡(luò)管理員預(yù)定義網(wǎng)絡(luò)ACL規(guī)則。通過這種方式，它們的功能類似于防火墻。

ACL還可以按它們識別流量的方式進(jìn)行分類：

標(biāo)準(zhǔn)ACL使用源IP地址阻止或允許整個協(xié)議套件。

擴(kuò)展ACL根據(jù)一組差異化更強(qiáng)的特征（包括源和目標(biāo)IP地址以及端口號）阻止或允許網(wǎng)絡(luò)流量，而不僅僅是源地址。

使用ACL好處 使用ACL有幾個好處，包括：

簡化的用戶識別。訪問控制列表簡化了識別用戶的方式。ACL確保只有經(jīng)過批準(zhǔn)的用戶和流量才能訪問系統(tǒng)。

性能。與執(zhí)行相同功能的其他技術(shù)相比，ACL具有性能優(yōu)勢。它們直接在路由設(shè)備的轉(zhuǎn)發(fā)硬件上配置，因此訪問控制列表不會對路由設(shè)備產(chǎn)生負(fù)面影響的性能影響。將其與狀態(tài)檢查防火墻進(jìn)行比較，后者是一個單獨的軟件，可能會導(dǎo)致性能下降。此外，控制網(wǎng)絡(luò)流量使網(wǎng)絡(luò)更加高效。

控制。ACL可以讓管理員更精細(xì)地控制網(wǎng)絡(luò)中許多不同點的網(wǎng)絡(luò)上的用戶和流量權(quán)限。它們有助于控制對網(wǎng)絡(luò)終結(jié)點的訪問以及在內(nèi)部網(wǎng)絡(luò)之間流動的流量。

您可以在哪里放置訪問控制列表？ 訪問控制列表幾乎可以放置在任何安全或路由設(shè)備上，并且在網(wǎng)絡(luò)的不同部分具有多個ACL可能是有益的。
ACL非常適合需要高速、高性能和安全性的網(wǎng)絡(luò)端點（如應(yīng)用程序或服務(wù)器）。
網(wǎng)絡(luò)管理員可以選擇在網(wǎng)絡(luò)中的不同點放置訪問控制列表，具體取決于網(wǎng)絡(luò)體系結(jié)構(gòu)。ACL通常放置在網(wǎng)絡(luò)的邊緣路由器上，因為它們與公共互聯(lián)網(wǎng)接壤。這使ACL有機(jī)會在流量到達(dá)網(wǎng)絡(luò)的其余部分之前對其進(jìn)行篩選。
帶有ACL的邊緣路由器可以放置在公共互聯(lián)網(wǎng)和網(wǎng)絡(luò)其余部分之間的非軍事區(qū)（DMZ）中。DMZ是具有面向外部的路由器的緩沖區(qū)，它提供來自所有外部網(wǎng)絡(luò)的一般安全性。它還具有內(nèi)部路由器，可將DMZ與受保護(hù)的網(wǎng)絡(luò)分開。
DMZ可能包含不同的網(wǎng)絡(luò)資源，如應(yīng)用程序服務(wù)器、Web服務(wù)器、域名服務(wù)器或虛擬專用網(wǎng)絡(luò)。路由設(shè)備上ACL的配置是不同的，具體取決于其背后的設(shè)備以及需要訪問這些設(shè)備的用戶類別。

ACL通常放置在DMZ或外圍以篩選流量。

訪問控制列表的組件 ACL條目由幾個不同的組件組成，這些組件指定ACL如何處理不同的流量類型。常見ACL組件的一些示例包括：

序列號。序列號顯示ACL條目中對象的標(biāo)識。

 ACL名稱：這將使用名稱而不是數(shù)字來標(biāo)識ACL。某些ACL允許同時使用數(shù)字和字母。

評論。某些ACL允許用戶添加注釋，這些注釋是對ACL條目的額外描述。

網(wǎng)絡(luò)協(xié)議。這使管理員能夠基于網(wǎng)絡(luò)協(xié)議（例如IP、互聯(lián)網(wǎng)控制消息協(xié)議、TCP、用戶數(shù)據(jù)報協(xié)議或NetBIOS）允許或拒絕流量。

源和目標(biāo)。這定義了要阻止或允許的特定IP地址，或者基于無類別域間路由的地址范圍。

日志。某些ACL設(shè)備會保留ACL可識別對象的日志。

更高級的ACL條目可以根據(jù)某些IP數(shù)據(jù)包標(biāo)頭字段（如差分服務(wù)代碼點、服務(wù)類型或IP優(yōu)先級）指定流量。 如何實現(xiàn)ACL 要實現(xiàn)ACL，網(wǎng)絡(luò)管理員必須了解流入和流出網(wǎng)絡(luò)的流量類型，以及他們嘗試保護(hù)的資源類型。管理員應(yīng)按層次結(jié)構(gòu)在單獨的類別中組織和管理IT資產(chǎn)，并管理用戶的不同權(quán)限。

維護(hù)訪問控制是網(wǎng)絡(luò)安全的基本組成部分。
標(biāo)準(zhǔn)ACL列表通常在靠近它嘗試保護(hù)的目標(biāo)附近實現(xiàn)。擴(kuò)展訪問控制列表通常在靠近源的位置實現(xiàn)?？梢允褂迷L問列表名稱而不是訪問列表編號來配置擴(kuò)展ACL。
用于在Cisco路由器上創(chuàng)建標(biāo)準(zhǔn)編號訪問控制列表的基本語法如下：
Router(config)#access-list(1300-1999)(permit|deny)source-addr(source-wildcard)
各個部分的含義如下：
（1300-1999）指定ACLIP編號范圍。這將命名ACL并定義ACL的類型。1300-1999使其成為標(biāo)準(zhǔn)ACL。
（允許|拒絕）指定要允許或拒絕的數(shù)據(jù)包。
源添加器指定源IP地址。
源通配符指定通配符掩碼。
通配符掩碼告訴路由器IP地址的哪些位可供網(wǎng)絡(luò)設(shè)備檢查并確定它是否與訪問列表匹配。

用戶可以在命令行中輸入上述配置代碼以創(chuàng)建訪問控制列表。來自供應(yīng)商（包括Oracle和IBM）的云平臺通常還提供在其用戶登錄門戶中創(chuàng)建訪問控制列表的選項。在整個計算機(jī)系統(tǒng)中設(shè)置用戶權(quán)限可能很繁瑣，但有一些方法可以自動執(zhí)行腳本。
訪問控制列表必須根據(jù)網(wǎng)絡(luò)體系結(jié)構(gòu)的差異進(jìn)行不同的配置。這包括本地、物理網(wǎng)絡(luò)和云網(wǎng)絡(luò)之間的差異。